Installer le rôle ADDS (Services de domaine Active Directory) sur Windows Serveur 2025 et promouvoir le serveur en contrôleur de domaine

Qu'est-ce le rôle "Services de domaine Active Directory" ?

Il s'agît d'un composant central de l'infrastructure Windows Server.
Il est conçu pour gérer de façon sécurisée et cohérente les identités, les ressources et les relations entre utilisateurs, groupes et ordinateurs au sein d'un réseau d'entreprise.
Il fournit un annuaire centralisé qui facilite l'authentification, l'autorisation, l'application des politiques de groupe et la mise en place de stratégies de sécurité à l'échelle de l'organisation.

Pour Microsoft, ADDS est une pierre angulaire de sa stratégie d'infrastructure, car il s'intègre étroitement avec l'ensemble des solutions et services Windows. Par ailleurs, depuis la montée en puissance du cloud computing, il est devenu parfaitement adapté à des scénarios hybrides (intégration avec Azure Active Directory).

Son importance dans l'écosystème Windows réside dans sa capacité à offrir une base solide pour la gestion des accès et des ressources.

L'installation du rôle. Quelques changements à noter.

Nous allons voir un certain nombre de notions relatives à l'Active Directory dans ce tuto.
Il est important de bien comprendre cette structure hiérarchique.

Sur Windows Serveur 2025, on procède de la même façon que sur Windows Serveur 2022 : on ouvre le Gestionnaire de serveur (qui s'ouvre logiquement déjà tout seul au démarrage, à moins que vous ne l'ayez désactivé), on attend le chargement des différents services, et on clique sur
"2) Ajouter des rôles et des fonctionnalités"

Capture d'écran

Capture d'écran

Capture d'écran

Capture d'écran

On coche "Services de domaine Active Directory".

Capture d'écran

Une fenêtre listant les fonctionnalités requises par défaut s'affiche.
On clique sur "Ajouter des fonctionnalités"

Capture d'écran

Capture d'écran

Voici la liste de toutes les fonctionnalités sur Windows Serveur 2025

Capture d'écran

Capture d'écran

Capture d'écran

Ne pas cocher "Redémarrer automatiquement le serveur de destination, si nécessaire" maintenant.

Capture d'écran

Capture d'écran

Une fois l'installation terminée, l'heure est venue de promouvoir le serveur en contrôleur de domaine.

Qu'est-ce qu'un contrôleur de domaine ?

Un contrôleur de domaine est un serveur qui est chargé de stocker et gérer la base de données centralisée des identités (utilisateurs, groupes, ordinateurs) et des ressources du domaine.
On contrôle ainsi qui peut accéder à quelles ressources et cela permet d'appliquer des stratégies de sécurité et de garantir une authentification cohérente pour tout le réseau.

Exemples de cas de figure :

La promotion d'un serveur en contrôleur de domaine consiste à installer et configurer le rôle ADDS sur un serveur Windows, puis à l'intégrer à un domaine existant ou à créer un nouveau domaine.
Cette opération met en place la base de données Active Directory, lui permet d'héberger l'annuaire, et de fournir les services d'authentification et d'autorisation nécessaires à l'infrastructure réseau. En d'autres termes, un serveur Windows "ordinaire" devient un élément clé de l'écosystème ADDS, prêt à gérer les identités et les ressources du domaine.

Cliquez (au choix) directement sur le lien dans la fenêtre d'installation terminée du rôle, ou sur le petit drapeau en haut (avec un icône de Travaux affiché !).

Capture d'écran

Quelques explications sur les choix qui s'offrent à présent à vous :

Etant donné que nous n'avons aucun domaine, ni aucune forêt pré-existante, il nous faut donc créer une nouvelle forêt et un domaine racine !

Mais qu'est-ce qu'une forêt ?

C'est l'entité la plus large dans la hierarchie Active Directory : elle peut contenir un ou plusieurs domaines, qui partagent un même schéma et un catalogue global commun.
Lorsque l'on décide de créer une nouvelle forêt, on met en place une toute nouvelle infrastructure logique d'annuaire, totalement indépendante d'autres forêts existantes.

Le premier domaine au sein d'une forêt est appelé le « domaine racine ».
Il sert de fondation à toute la structure de la forêt et possède une place particulière dans la hiérarchie. Le choix du nom de domaine racine est important car il va souvent déterminer la cohérence de votre espace de noms : on privilégie généralement un nom de domaine DNS unique et significatif, qui reflète le nom de l'organisation ou de l'environnement, afin de faciliter l'administration, la navigation et l'intégration avec d'autres services.
Ce nom racine devient ainsi un point de référence central pour tous les domaines qui seront ultérieurement intégrés à la forêt.

Capture d'écran

Capture d'écran

Niveaux fonctionnels de forêt et de domaine

Par défaut, le Niveau fonctionnel de la forêt sur Windows Server 2025 est placé sur "Windows Server 2025" par défaut, avec tout de même l'option de "Windows Server 2016" (merci à Michel d'avoir attiré mon attention là-dessus !)

Qu'est-ce qu'un "Niveau fonctionnel de forêt" et pourquoi le choix par défaut peut-il être contraignant ?

Le niveau fonctionnel de la forêt détermine quelles fonctionnalités avancées d'Active Directory sont activées à l'échelle de la forêt, ainsi que la compatibilité avec les versions des contrôleurs de domaine.
Un niveau fonctionnel très récent (comme c'est le cas ici) permet d'accéder aux dernières améliorations, mais impose que tous les contrôleurs de domaine de la forêt soient au moins à ce niveau.
Le choix par défaut d'un niveau fonctionnel élevé peut donc être problématique dans le cadre d'une intégration ou d'une volonté de conserver des contrôleurs de domaine plus anciens.
Nous sommes donc clairement appelés à "évoluer"... :-D...

Qu'est-ce qu'un "Niveau fonctionnel de domaine" et pourquoi le choix par défaut est également contraignant ?

Le niveau fonctionnel de domaine détermine les fonctionnalités disponibles au sein d'un domaine spécifique. Un niveau plus récent offre les dernières fonctionnalités mais force également tous les contrôleurs de ce domaine à être sur la même version (au minimum) de Windows Server.
Le fait de ne pouvoir choisir qu'un niveau fonctionnel de domaine très récent par défaut est embêtant une fois encore si vous souhaitez ajouter des contrôleurs plus anciens ou procéder à une migration.
Cependant, à la différence du niveau fonctionnel de forêt, cette pratique est courante afin "d'encourager" (dira-t-on) l'adoption des améliorations.

Quid du mélange des deux ??

Il existe une règle importante : un domaine ne peut pas avoir un niveau fonctionnel supérieur à celui de la forêt dans laquelle il se trouve.
Le niveau fonctionnel de la forêt définit le socle, le cadre maximal sur lequel les domaines peuvent s'appuyer.

Concrètement, cela signifie que si votre forêt est au niveau fonctionnel Windows Server 2016, vous ne pourrez pas placer votre domaine à un niveau fonctionnel Windows Server 2025. Le domaine est toujours contraint de rester égal ou inférieur au niveau de la forêt.
Pour pouvoir profiter d'un niveau fonctionnel de domaine 2025, il vous faudra d'abord rehausser le niveau fonctionnel de la forêt à 2025

Qu'est-ce que "DSRM" ? Et pourquoi définir un mot de passe ?

Le mot de passe de restauration des services d'annuaire (DSRM) est un mot de passe saisi lors de la promotion d'un serveur en contrôleur de domaine.
Il permet d'accéder au mode de restauration d'Active Directory, un mode spécial dans lequel le contrôleur de domaine démarre sans activer les services AD.
Ce mot de passe est essentiel pour effectuer des opérations de maintenance et de récupération hors ligne, (comme la restauration de données de l'annuaire).
Il est donc recommandé de le consigner et de le protéger soigneusement, car il ne dépend d'aucune autre source d'authentification et ne se réplique pas sur d'autres contrôleurs de domaine.

Capture d'écran

Capture d'écran

Un rappel sur le nom NETBIOS

Le nom NETBIOS est un nom court, traditionnellement limité à 15 caractères, utilisé pour identifier un ordinateur (ou un domaine) dans des environnements réseaux antérieurs à l'adoption du DNS (Domain Name System).
Cette ancienne méthode de résolution de noms date des premières versions de Windows et permettait de localiser et d'accéder aux ressources partagées (fichiers, imprimantes, etc.) sur le réseau local sans avoir à recourir à un service DNS.

Aujourd'hui, bien que le DNS soit devenu la norme, le nom NETBIOS reste présent pour des raisons de compatibilité rétroactive avec des applications ou des outils plus anciens. Il est toujours attribué lors de l'installation d'un contrôleur de domaine et sert encore dans certains scénarios (très) spécifiques (absence de DNS entièrement configuré dans un des réseaux, interopérabilité avec des équipements préhistoriques, tests...) ou pour faciliter les opérations de dépannage dans des environnements hybrides.

Laissez le choix par défaut.

Capture d'écran

Pas touche ici, à moins de savoir ce que vous faîtes !

Capture d'écran

Capture d'écran

Finalisation de l'installation

Si vous cliquez sur le bouton "Afficher le script", vous aurez le détail de l'installation en PowerShell.
A retenir !

Capture d'écran

Capture d'écran

Votre ordinateur va redémarrer tout seul à l'issue.

Capture d'écran

Lorsqu'il aura redémarré, l'utilisateur Administrateur du serveur sera devenu l'utilisateur Administrateur du domaine.
Son rôle d'administrateur local sera intégré et étendu. Il gèrera désormais non seulement la machine, mais aussi l'ensemble des ressources, utilisateurs, groupes et stratégies au niveau du domaine.

⬆️ Retour en haut de la page